I certificati X.509v3 impediscono gli attacchi MITM in SSH

Naviga le tue risposte
3

Stavo leggendo RFC 4251 (in realtà tutte le RFC SSH) e nella sezione 9 si parla molto delle considerazioni sulla sicurezza che elencano 3 casi di attacchi MITM. In diversi punti delle RFC gli autori citano che non dispongono dell'infrastruttura adeguata per distribuire le chiavi del server da un'autorità centrale.

RFC 6187, se ho capito bene, cambia questo no? O sto confondendo come i pezzi interagiscono tra loro?

È certo che la probabilità che un attacco MITM sia remota nel riuscire comunque basandosi sulla mia lettura ... o l'uso di X.509 chiude alcune porte ma ne apre altre?

    
posta Nolan Robidoux 27.04.2017 - 19:09
fonte

1 risposta

3

X.509 è solo un formato per i certificati a chiave pubblica, il tipo tipicamente utilizzato dai browser web. L'idea fondamentale era quella di avere la chiave pubblica nel certificato firmata da qualcun altro che ha fiducia nella chiave pubblica. Nei browser Web questi sono i certificati di origine forniti in bundle con il browser. Tipicamente aziende come Comodo, DigiCert, GlobalSign, ecc. Consentono di fidarsi del collegamento quando il certificato di acme.com è firmato da un certificato radice attendibile. Lo stesso potrebbe essere fatto per ogni host ssh come per gli host web, ma tende a essere troppo lavoro e costi. Quindi, di solito si vede una "impronta digitale" ssh quando si esegue l'ssh su un nuovo host e un avviso se l'host cambia la sua chiave pubblica.

Si noti che le chiavi pubbliche utilizzate per firmare i certificati devono ancora essere distribuite all'utente finale. Anche i sistemi operativi per computer come Windows e Linux sono forniti in bundle con certificati radice. Quindi la vulnerabilità nello schema X.509 è in qualcuno che sostituisce i certificati attendibili nel software prima che sia installato sul tuo sistema.

    
risposta data 28.04.2017 - 07:56
fonte

Leggi altre domande sui tag

Consentire l'accesso a una directory solo per determinate applicazioni Qual è la differenza tra un "firewall sensibile all'applicazione" e un "firewall per applicazioni Web"?